Anti-phishingtraining sorteert nauwelijks effect

In dit artikel:

Onderzoekers van de Universiteit van Californië San Diego publiceerden en presenteerden (onder andere op Black Hat 2025) de uitkomsten van een grote veldproef waaruit blijkt dat gangbare phishingbewustzijnstrainingen nauwelijks effect hebben. Gedurende acht maanden kregen meer dan 19.500 medewerkers van de zorgorganisatie UC San Diego Health tien verschillende phishingsimulaties voorgezet. Het verschil in foutpercentage tussen getrainde en ongetrainde medewerkers bedroeg slechts 1,7 procentpunt.

Zowel traditionele jaarlijkse modules (UC San Diego Health gebruikt materiaal van KnowBe4) als directe, ‘embedded’ training — waarbij medewerkers na een fout meteen naar een korte les worden geleid via het Proofpoint-platform — verminderden het risico niet substantieel. Meer dan de helft van de medewerkers stopte zo’n verplichte korte training binnen tien seconden; minder dan 25 procent maakte de les af. Zelfs interactieve lessen brachten het klikrisico slechts zo’n twintig procent omlaag, deels doordat deelnemers snel afhaken. Opmerkelijk is dat medewerkers die vaker training kregen en voltooiden later juist vaker fouten maakten bij nieuwe nep-mails.

Sommige zorgvuldig vormgegeven e-maillokmiddelen haalden klikpercentages tot 30 procent; wijzigingen in vakantierechten of interne protocollen bleken bijzonder effectief. In totaal klikte 56 procent van de deelnemers minstens één keer op een phishinglink, onafhankelijk van trainingsstatus. Dit illustreert dat personeel blijft fungeren als belangrijkste toegangspoort voor cybercriminelen — een zorgelijke ontwikkeling, vooral voor zorginstellingen die vaak doelwit zijn (vergelijkbaar met recente hacks in Nederland).

De studie suggereert dat zonder fundamentele herziening van motivatie en lesontwerp, en zonder aanvullende technische maatregelen (bijv. phishing-resistente authenticatie en strengere e-mailfilters), veel uitgegeven budgetten voor awareness weinig bijdragen aan echte weerbaarheid.